-互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)的應(yīng)用和設(shè)計要點

1、- 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)的應(yīng)用和設(shè) 計- 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)的應(yīng)用和設(shè)計類別：通信網(wǎng)絡(luò)0、前言隨著寬帶互聯(lián)網(wǎng)在中國的迅速發(fā)展，全國各大電信運營商的網(wǎng)絡(luò)規(guī)模都在不斷擴張，網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，網(wǎng)絡(luò)業(yè)務(wù)日趨豐富，網(wǎng)絡(luò)流 量高速增長。電信運營商需要通過可靠、有效的網(wǎng)絡(luò)業(yè)務(wù)流量監(jiān)測系統(tǒng)對其網(wǎng) 絡(luò)以及網(wǎng)絡(luò)所承載的各類業(yè)務(wù)進行及時、準確的流量和流向分析，進而挖掘網(wǎng) 絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基 礎(chǔ)依據(jù)。 目前國內(nèi)電信運營商已建的網(wǎng)絡(luò)管理系統(tǒng)所能實現(xiàn)的流量監(jiān)測功 能非常有限，遠遠不能滿足運營商的迫切需要。 1 、互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù) 的應(yīng)用及現(xiàn)狀 1.1 互聯(lián)網(wǎng)業(yè)

2、務(wù)流量監(jiān)測技術(shù)的應(yīng)用 流量監(jiān)測技術(shù)的 應(yīng)用主要包括以下幾個方面：a為網(wǎng)絡(luò)出口互聯(lián)鏈路的設(shè)置提供決策支持 通過對網(wǎng)絡(luò)出口流量和流向的分析，可以詳細了解網(wǎng)絡(luò)內(nèi)部用戶對其他 外部網(wǎng)絡(luò)的訪問情況，從而有效地選擇與其他網(wǎng)絡(luò)的互聯(lián)方式和互聯(lián)地點，節(jié) 約互聯(lián)鏈路費用。b）掌握用戶對其他運營商的訪問情況通過對與其他網(wǎng)絡(luò)互聯(lián)流量的監(jiān)控，分析網(wǎng)絡(luò)內(nèi)部用戶訪問其他外部網(wǎng)絡(luò)的業(yè)務(wù)特點和主 要流量的去向，準確掌握內(nèi)部用戶對外網(wǎng)的興趣點，找到最多應(yīng)用的熱點信息 內(nèi)容。根據(jù)分析結(jié)果進行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)，將用戶感興趣的熱點信息內(nèi)容 放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。c）評估分支網(wǎng)絡(luò)的成本和價值通過對各個分支網(wǎng)絡(luò)出入流量的監(jiān)

3、控，分析流量的大小、去向及內(nèi)容組成，了 解各分支網(wǎng)絡(luò)占用帶寬的情況，從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè) 務(wù)開展情況，并作出價值評估。d）提供重要應(yīng)用和大客戶統(tǒng)計分析通過對重要應(yīng)用和大客戶的流量進行統(tǒng)計分析，掌握重要應(yīng)用和大客戶的流量 狀況，進行網(wǎng)絡(luò)帶寬的成本分析，有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得 最佳平衡。e）基于ip的計費應(yīng)用和服務(wù)等級協(xié)議（sla ）的校驗服務(wù)通過對大客戶接入電路上的流量進行監(jiān)控分析，可以統(tǒng)計出業(yè)務(wù)類型、服務(wù)等 級、通信時間和時長、通信數(shù)據(jù)量等參數(shù)，為基于 ip 的計費應(yīng)用和 sla 的校驗 服務(wù)提供數(shù)據(jù)依據(jù)。f ）掌握網(wǎng)絡(luò)狀況 通過對網(wǎng)絡(luò)中一些特定流量的長期監(jiān)

4、控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準數(shù)據(jù)可供網(wǎng)管 人員正確分析網(wǎng)絡(luò)使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴大 前實施防范措施，進而提升網(wǎng)絡(luò)的整體質(zhì)量及效能。g）實現(xiàn)對網(wǎng)絡(luò)異常通信的檢測，重點防范分布式拒絕服務(wù)（ddos ）的攻擊和大范圍的蠕蟲病毒發(fā) 作 通過對網(wǎng)絡(luò)內(nèi)流量的實時分析，有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流 量，迅速分析出異常流量的具體屬性。通過與網(wǎng)絡(luò)通信正常基線的比對，管理 員對出現(xiàn)的異常通信可以快速定性是否為網(wǎng)絡(luò)安全攻擊，確定安全攻擊的類 型，評估本次攻擊的危險程度及可能造成的影響范圍，并采用相應(yīng)技術(shù)手段實 施事故應(yīng)急處理。h）為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)依據(jù)通過流量分

5、析，可以為多出口的流量負載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 qos 等網(wǎng)絡(luò) 優(yōu)化措施提供數(shù)據(jù)依據(jù)。 1.2 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測技術(shù)現(xiàn)狀分析 目 前國內(nèi)電信運營商的運維部門大都還沒有建設(shè)一套能夠完全滿足管理需求的互 聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測系統(tǒng)?，F(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測手 段，但基本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如利用免費的 mrtg和簡單網(wǎng)絡(luò)管理協(xié)議（snmp，對網(wǎng)絡(luò)的重點鏈路和互聯(lián)點進行簡單的端 口級流量監(jiān)視和統(tǒng)計；或采用在網(wǎng)絡(luò)中部分重點業(yè)務(wù)接入點（pop）加裝遠程監(jiān)控（rmon）探針的方式，利用rmon i/ ii協(xié)議對網(wǎng)絡(luò)中部分端口進行網(wǎng)絡(luò)流量 和上層業(yè)

6、務(wù)流量的監(jiān)視和采集。上述兩種被普遍采用的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)都有著明顯的技術(shù)局限性。snmp采集端口的數(shù)據(jù)主要是在網(wǎng)元層用來監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能，而且 snmp采集的數(shù)據(jù)是基于端口的，無法提供端到 端的準確的流量信息，因此對流向的統(tǒng)計手段不明確。利用rmon探針對運營商網(wǎng)絡(luò)進行流量和流向管理可以部分彌補snmp的技術(shù)局限性，其業(yè)務(wù)分析和協(xié)議分析功能較強。但是，采用rmon探針建設(shè)的流量監(jiān)測系統(tǒng)也有處理性能 不足和難以在大型網(wǎng)絡(luò)普遍部署的局限性。為克服現(xiàn)有網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，運營商迫切需要尋找一種功能豐富、成熟穩(wěn) 定的新技術(shù)，對現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進行

7、改造和升級。 新的流量信息采集和分析技術(shù)應(yīng)具備對運營商的運行網(wǎng)絡(luò)影響小、無需對網(wǎng)絡(luò) 拓撲進行改變就能平滑升級的技術(shù)特征，既可以對網(wǎng)絡(luò)中各個鏈路的帶寬使用 率進行統(tǒng)計，又可以對每條鏈路上不同類型業(yè)務(wù)的流量和流向進行分析和統(tǒng) 計。本文主要討論功能強大、應(yīng)用廣泛的 netflow 技術(shù)。 2 、流量監(jiān)測系統(tǒng)建 設(shè)方案中需要考慮的問題 2.1 netflow 技術(shù)簡介 netflow 是 cisco 公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，該技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)交換進行 加速，并可同步實現(xiàn)對高速轉(zhuǎn)發(fā)的 ip 數(shù)據(jù)流（ flow ）進行測量和統(tǒng)計。經(jīng)過多 年的技術(shù)演進， netflow 原來用于數(shù)據(jù)交換加

8、速的功能已經(jīng)逐步改由網(wǎng)絡(luò)設(shè)備 中的專用集成電路（ asic ）芯片實現(xiàn)，而對流經(jīng)網(wǎng)絡(luò)設(shè)備的 ip flow 進行測量 和統(tǒng)計的功能卻更加成熟，并成為當今互聯(lián)網(wǎng)領(lǐng)域公認的最主要的 ip 流量分 析、統(tǒng)計和計費行業(yè)標準。為對運營商網(wǎng)絡(luò)中不同類型的業(yè)務(wù)流進行準確的流量和流向分析與計量，首先需要對網(wǎng)絡(luò)中傳輸?shù)母鞣N類型數(shù)據(jù)包進行區(qū) 分。由于 ip 網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類型業(yè)務(wù)的通信可能是任意一 臺終端設(shè)備向另一臺終端設(shè)備發(fā)送的一組 ip 數(shù)據(jù)包，這組數(shù)據(jù)包實際上就構(gòu)成 了運營商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個 flow 。如果管理系統(tǒng)能對全網(wǎng)傳送的所有 flow 進行區(qū)分，準確記錄傳送時間、傳送方向和

9、flow 的大小，就可以對運營商全網(wǎng) 所有業(yè)務(wù)的流量和流向進行分析和統(tǒng)計。通過分析網(wǎng)絡(luò)中不同 flow 之間的差別，可以發(fā)現(xiàn)判斷任何兩個 ip 數(shù)據(jù)包是否屬于同一個 flow ，實際上可以 通過分析ip數(shù)據(jù)包的以下7個屬性來實現(xiàn)：a）源ip地址；b）目標ip地址；c）源通信端口號；d）目標通信端口號；e）第三層協(xié)議類型；f）服務(wù)類型（tos ）字節(jié)；g）網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口（ iflndex ）。cisco 公司的 netflow 技術(shù)就是利用分析 ip數(shù)據(jù)包的上述 7 個屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類型業(yè)務(wù)的 flow 。對 區(qū)分出的每個 flow ， netflow 技術(shù)

10、可以進行單獨跟蹤和準確計量，記錄其傳送 方向和目的地等流向特性，統(tǒng)計其起始和結(jié)束時間、服務(wù)類型、包含的數(shù)據(jù)包 數(shù)量和字節(jié)數(shù)量等流量信息。在 netflow 技術(shù)的演進過程中， cisco 公司一共開發(fā)出了 netflow v1 、netflow v5 、netflow v7 、netflow v8 和 netflowv9等5個主要的實用版本。下面對網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常用的netflow v5 數(shù)據(jù)輸出的數(shù)據(jù)包格式作一簡單介紹。圖 1 為 netflow v5 輸出數(shù)據(jù)包的包頭格式。圖 2 為包含在每個 netflow v5 輸出數(shù)據(jù)包中的具體 flow 的流量和流向統(tǒng)計信息的數(shù)據(jù)格式。

11、圖 1 netflow v5 輸出數(shù)據(jù)包的包頭格式圖 2 netflow v5 輸出數(shù)據(jù)包中每個 flow 的具體流量和流向統(tǒng)計信息 格式 netflow 的數(shù)據(jù)輸出要求先在路由器和交換機上定制 netflow 流輸 出，并選擇輸出流的版本、個數(shù)、緩沖區(qū)的大小等，配置相應(yīng) netflow 流量收 集器（ flowcollector ）的 ip 地址、端口等信息。此時路由器或交換機即可以 用戶數(shù)據(jù)報協(xié)議（udp）的方式向外發(fā)送流信息，然后在 netflow flowcollector 端配置接收端口號，設(shè)置匯聚、過濾策略和流量文件存放目 錄、格式等。 netflow 有非采樣和采樣兩種使用模式。

12、一般來說，netflow flowcollector 都選用 unix 工作站來收集數(shù)據(jù)， netflow flowcollector 收集的數(shù)據(jù)將存放在本地磁盤中（路徑由用戶定義）。同時， 它也可以通過網(wǎng)關(guān)以 socket 方式發(fā)送信息到其他網(wǎng)管分析軟件，或直接讀取存 放在 netflow flowcollector 工作站中的數(shù)據(jù)文件，對其進行分析處理。netflow 記錄的流包含了豐富的信息，非常適合于網(wǎng)絡(luò)性能分析。 netflow 不需 要其他硬件流量設(shè)備的支持，開啟和關(guān)閉都非常方便，因此在國外已有很多運 營商用它來收集流量，服務(wù)于網(wǎng)絡(luò)規(guī)劃、設(shè)計和優(yōu)化等領(lǐng)域。但開啟 netflow 需

13、要消耗一定的路由器資源（ cpu 和內(nèi)存）。根據(jù) netflow 的特點，該技術(shù)非常適用于大型網(wǎng)絡(luò)。 netflow 采集實施成本較低、安裝方便，而且不受速 率的限制，是目前運營商流量監(jiān)測的首選技術(shù)。采集到的 netflow 數(shù)據(jù)，結(jié)合邊界網(wǎng)關(guān)協(xié)議（bgp）路由信息，可以更加精確地分析路由信息和互聯(lián)流量 的自治域（as）屬性。2.2 流量采集對業(yè)務(wù)網(wǎng)絡(luò)的影響評估2.2.1帶寬占用 采用 netflow 方案不要求處理從某個接口接受到的每個數(shù)據(jù)包， 用來對被監(jiān)控路由器進行流量分析的數(shù)據(jù)來自采集到的 netflow 數(shù)據(jù)，從路由 器送出的非采樣 netflow 數(shù)據(jù)不到流經(jīng)該路由器數(shù)據(jù)量的 1%，

14、使用采樣 netflow 時數(shù)據(jù)更為大大減少。根據(jù)計算，在采樣率為1 000： 1 時，對10gbit/s 的流量進行 netflow 分析，只產(chǎn)生 1.3mbit/s 的流量。因此， netflow 產(chǎn)生的這部分流量對于骨干網(wǎng)的帶寬占用很少。2.2.2 路由器性能消耗 利用 netflow 技術(shù)實現(xiàn)流量監(jiān)測需要路由器開啟 netflow 協(xié)議以 配合采集數(shù)據(jù)，因此會對路由器的 cpu 造成一定的負擔。 cisco 公司和 juniper 公司等路由器廠家都針對這些問題作了詳細的研究。不同的產(chǎn)品系列和 netflow 協(xié)議是否經(jīng)過采樣等，對 cpu 的影響程度也不同。根據(jù) cisco 公司的“

15、 n etflow performa nee an alysis” 白皮書，在非采樣方式下，路由器開啟netflow后，其cpu使用狀況如下：a）如果有10 000條同時在線的flow，則路由器的cpu使用率平均增加7.14%;b）如果有45 000條同時在線的flow，則路由器的cpu使用率平均增加19.16%;c）如果有65000條同時在線的flow，則路由器的cpu使用率平均增加22.98%。這些數(shù)據(jù)是基于不同的產(chǎn)品系列進行測試的平均值。在采樣方式下開啟netflow 對路由器的cpu影響會更小。根據(jù)cisco公司的資料顯示，12000系列 的路由器在非采樣方式下需要增加 23.5%的c

16、pu使用率來處理65 000條flow， 而在采用 100:1 的采樣率時 cpu 使用率僅增加 3%。在不同的采樣率下， cpu 的 負擔增加程度也不同。路由器上不同類型的線卡對 netflow 的支持情況也有所不同。仍以 cisco 公司路由器為例， engine 3 和 engine 4+ 的線卡是采用 專門的硬件來處理 netflow 數(shù)據(jù)，開啟 netflow 對路由器性能影響較小；而通 常認為 engine 2 的線卡開啟 netflow 對路由器性能的影響相對較大。 2.3 netflow 采樣率的設(shè)定 在采樣方式下，路由器按照一定的采樣率采集 netflow 數(shù)據(jù)，流量分析系統(tǒng)

17、接收 netflow 數(shù)據(jù)對網(wǎng)絡(luò)的流量進行計算和分 析，因此路由器的采樣率在很大程度上決定了分析結(jié)果的準確性。如果路由器 設(shè)定的采樣率過高（如 1000:1 或更高），流量分析的誤差將加大，尤其對小 flow 或混雜在大流量中的部分關(guān)鍵的小 flow 的分析，更容易產(chǎn)生比較大的誤 差。 在路由器上開啟 netflow 會消耗一些設(shè)備資源，特別是需要占用一些 cpu和memory等重要資源，而且采樣率越低，對資源的占用越大。如果設(shè)置過 低的 netflow 采樣率會對路由器的性能帶來較大的影響。因此，應(yīng)根據(jù)路由器 上需要打開的 netflow 功能板卡的主要類型，并結(jié)合設(shè)備上開通的電路的流量 情

18、況靈活地設(shè)置路由器的 netflow 采樣率，包括 100:1 、 500:1 、1 000:1 和 3 000:1 等。 2.4 流量采集點的設(shè)置 為了實現(xiàn)對所監(jiān)測網(wǎng)內(nèi)的所有流 量進行分析，首先需要合理地設(shè)置流量采集點。采集點的設(shè)置非常關(guān)鍵，直接 影響到系統(tǒng)能否準確地對流量進行全面分析。下面主要針對運營商網(wǎng)絡(luò)優(yōu)化應(yīng) 用提出采集點設(shè)置建議方案。由于主要是實現(xiàn)對運營商網(wǎng)絡(luò)的優(yōu)化，所以不一定需要對網(wǎng)絡(luò)中傳送的所有流量數(shù)據(jù)進行 100%的監(jiān)測。為減少對網(wǎng)絡(luò)設(shè)備 的資源占用，降低對系統(tǒng)的容量要求，可以選用數(shù)據(jù)包抽樣的 netflow 數(shù)據(jù)采 集方式，對網(wǎng)絡(luò)中的所有流量進行統(tǒng)計。通常情況下，運營商網(wǎng)絡(luò)結(jié)

19、構(gòu)包括核心層和邊緣層兩個層次，網(wǎng)絡(luò)流量通過邊緣層的路由器匯接進入核心層， 由核心層的路由器進行轉(zhuǎn)接。而 netflow 技術(shù)只能對端口的流入流量進行分 析，因此，流量采集點的設(shè)置主要有兩種方案可供選擇：a）方案一：采集點設(shè)置在網(wǎng)絡(luò)的核心層，核心層路由器之間的互聯(lián)端口不需要開啟 netflow ，核心節(jié)點路由器對外的互聯(lián)端口開啟 netflow 流入流量采集。 該方案的優(yōu)點是被采集的路由器數(shù)量少，因此管理比較簡單，配置工作量比較 ??；缺點是采集端口集中在核心層路由器上，增加了核心層路由器的負擔，對 業(yè)務(wù)網(wǎng)絡(luò)的影響較大。b）方案二：采集點設(shè)置在網(wǎng)絡(luò)的邊緣層，邊緣層路由器對外的互聯(lián)端口開啟 netf

20、low 流入流量采集，對從其他 as 進入到網(wǎng)內(nèi)的 流量進行分析。該方案的優(yōu)點是采集端口分散在邊緣層的多臺路由器上，相應(yīng)地減少了單臺路由器上的采集數(shù)據(jù)量和因流量采集而增加的負擔，降低了 開啟 netflow 對業(yè)務(wù)網(wǎng)絡(luò)的影響；缺點是被采集的路由器數(shù)量較多，管理的復(fù) 雜程度和配置工作量都相應(yīng)加大，而且這種方案需要將采集的 netflow 數(shù)據(jù)從 邊緣層的路由器傳送到集中設(shè)置的采集機，會在網(wǎng)內(nèi)增加一定的流量而占用網(wǎng) 絡(luò)帶寬。在實際應(yīng)用中，流量采集點的設(shè)置應(yīng)根據(jù)網(wǎng)絡(luò)的具體情況和管理要求來選擇合適的方案。圖 3為運營商網(wǎng)絡(luò)優(yōu)化時的流量采集點設(shè)置示意圖。圖 3 運營商網(wǎng)絡(luò)優(yōu)化流量采集點設(shè)置示意圖2.5

21、系統(tǒng)組織方案 流量分析系統(tǒng)由采集機和分析服務(wù)器組成。被采集的路由器將 netflow 數(shù)據(jù)包發(fā)往 netflow 流量采集機，采集機將采集到的 netflow 數(shù)據(jù)送到分析服 務(wù)器進行分析。被采集的路由器分布在全網(wǎng)各個節(jié)點，當系統(tǒng)規(guī)模較大時，需 要配置多臺采集機和分析服務(wù)器。采集機和分析服務(wù)器的部署有以下兩種方 案。a）方案一：將采集機分別部署在各個核心節(jié)點，每個核心節(jié)點的采集機負責采集連接至該核心節(jié)點的路由器；分析服務(wù)器集中部署在網(wǎng)管中心。該方案采集機通過以太網(wǎng)接口接入核心路由器或與核心路由器連接的局域網(wǎng)交 換機，實現(xiàn)與被采集路由器的互通。利用用戶數(shù)據(jù)報協(xié)議（udp）從被采集路由器上的端口采

22、集 netflow 數(shù)據(jù)，再通過 ip 網(wǎng)絡(luò)傳送到分析服務(wù)器，由分析服務(wù) 器進行數(shù)據(jù)匯總和分析處理，如圖 4 所示。圖 4 流量分析系統(tǒng)組織方案一示意圖該方案的優(yōu)點是，在至分析服務(wù)器的 ip 網(wǎng)絡(luò)連接出現(xiàn)突發(fā)故障時，可以充分利用采集機的存儲能力，暫 存 netflow 數(shù)據(jù)，待網(wǎng)絡(luò)連接恢復(fù)時，再向分析服務(wù)器傳送；這種分布式的部 署方案還可以避免單點出現(xiàn)故障時導(dǎo)致全網(wǎng)流量無法采集，而且采集機還可以 進行一些預(yù)處理工作，減輕分析服務(wù)器的壓力。缺點是每個核心節(jié)點都需要配 備一套采集機，設(shè)備的綜合利用率不夠高，管理和維護不夠集中。b）方案二：采集機和分析服務(wù)器集中部署，由多臺采集機共同負責采集全網(wǎng)內(nèi)的

23、路 由器。該方案采集機通過以太網(wǎng)接口接入網(wǎng)管中心，實現(xiàn)與全網(wǎng)內(nèi)被采集路由 器的互通，采集機利用udp通過ip網(wǎng)絡(luò)從各節(jié)點被采集路由器上的端口采集 netflow 數(shù)據(jù)，再通過局域網(wǎng)傳送到分析服務(wù)器，由分析服務(wù)器進行數(shù)據(jù)匯總 和分析處理，如圖 5 所示。圖 5 流量分析系統(tǒng)組織方案二示意圖該方案的優(yōu)點是，流量分析系統(tǒng)設(shè)備集中部署，便于統(tǒng)一管理和統(tǒng)一維護，也提高了設(shè)備的利用率；缺 點是如果 ip 網(wǎng)絡(luò)不穩(wěn)定或發(fā)生故障時，路由器的 netflow 數(shù)據(jù)將不能傳送到網(wǎng) 管中心，處理不當可能造成 netflow 數(shù)據(jù)的丟失。實際部署時應(yīng)根據(jù)具體的要求來選擇合適的系統(tǒng)組織方案。2.6 系統(tǒng)處理能力估算模型的分析2.6.1計算數(shù)據(jù)的取定首先取定以下計算數(shù)據(jù)：a） 個netflowv5輸出數(shù)據(jù)包的包長為1 500 byte ； b） 個netflow v5 輸出數(shù)據(jù)包中 包括的flow的數(shù)量為30；c）網(wǎng)絡(luò)流量